2024-03-29 00:15 (금)
라인 이명재 “버그바운티 운영, 해커를 고용하는 가장 좋은 방법”
상태바
라인 이명재 “버그바운티 운영, 해커를 고용하는 가장 좋은 방법”
  • 길민권 기자
  • 승인 2017.11.09 22:33
이 기사를 공유합니다

“버그바운티, 회사의 보안을 지키는 가장 좋은 방법이기도 하다”

▲ PASCON 2017. 라인 이명재 시니어 엔지니어. 버그바운티 프로그램 운영 필요성에 대해 강연 중.
▲ PASCON 2017. 라인 이명재 시니어 엔지니어. 버그바운티 프로그램 운영 필요성에 대해 강연 중.
데일리시큐가 주최한 하반기 최대 2017 공공·기업 개인정보보호&정보보안 컨퍼런스 PASCON 2017이 지난 10월 26일 양재동 더케이호텔서울 가야금홀에서 공공, 금융, 기업, 의료, 교육기관 등 전국의 정보보안 실무자 800여 명 이상이 참석한 가운데 성황리에 개최됐다.

이 자리에서 라인(LINE) 이명재 시큐리티 시니어 엔지니어는 ‘LINE Security Bug Bounty Program(라인의 버그바운티 프로그램)에 대해 강연을 진행했다. 현재 이명재 엔지니어는 일본 라인에서 버그바운티 프로그램 운영을 담당하고 있으며 이번 PASCON 2017에서 버그바운티 프로그램 운영 필요성과 노하우를 한국 기업 보안담당자들과 공유하기 위해 발표시간을 가지게 됐다.

버그바운티는 해커들이 취약점을 찾아 보고하면 심사를 거쳐 취약점 수정 이후 보상금 정책에 따라 보상금을 지급하는 프로그램을 말한다. 현재 국내외 기업들 중 자사가 직접 버그바운티를 운영하는 곳은 구글, 페이스북, 라인, 마이크로소프트, 삼성, 네이버, 텐센트 등이 있다. 기관으로는 KISA, IPA, CNNVD 등이 있으며 또 버그바운티 전문대행사로는 해커원(Hackerone), 버그크라우드(Bugcrowd) 등이 있다.

▲ PASCON 2017 컨퍼런스 이명재 엔지니어 강연 현장.
▲ PASCON 2017 컨퍼런스 이명재 엔지니어 강연 현장.
그는 라인의 버그바운티 프로그램 운영에 대해 “운영 목적은 유저에게 안전한 서비스를 제공하기 위함이다. 2015년 시범운영을 통해 2016년부터 상시운영을 개시했고 2017년에는 대상범위를 라인 iOS, 안드로이드, 크롬, 윈도우 모바일 앱에서부터 라인 웹사이트까지 확대, 시행하고 있다. 참가조건과 취약성으로 인정되지 않는 항목, 금지항목 등 홈페이지에 상세히 설명돼 있으니 참조하면 된다”고 설명했다.

라인 버그바운티 보고 흐름은 취약점 보고가 이루어지면 보고자에게 연락을 취하고 1, 2차의 내부심사를 거쳐 취약점 패치된 사항을 보고자에게 연락한다. 이후 심사결과를 알리고 포상금 지불 완료후 최종 연락을 하는 형태로 이루어진다. 포상금은 위험도에 따라 차등지급하고 과거 참고금액의 3배 이상까지 보상금을 지불한 케이스도 있다.

라인 버그바운티 통계를 보면, 2015년 1개월 간 194건(일본내 89건, 해외 105건)이 접수됐으며 포상금 대상 취약점 건수는 14건, 총 포상금액은 4만4천달러였다.

상시운영을 개시한 2016년부터는 97건(일본내 15건, 해외 82건)이 접수됐으며 포상 대상 취약점은 13건, 지불금액은 2만7천달러로 집계됐다.

버그바운티 대상을 확대한 올해 2017년(9월까지 집계)에는 139건(일본내 9건, 해외 130건)이 접수됐고 포상금 대상 취약점은 33건, 총 포상금 지불금액은 5만달러가 넘었다. 라인은 버그바운티 운영 결과를 자사 블로그에 상세히 공개하고 있다.

▲ 이명재 엔지니어 발표자료 이미지. 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
▲ 라인 이명재 엔지니어 발표자료 이미지. 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
올해 1월부터 9월까지 포상금 지급이 결정된 취약점 비율은 XSS가 70%로 가장 많았고 인증우회가 6%, 나머지 다양한 취약점들로 조사됐다. 국가별 포상금 지급은 홍콩이 25%로 가장 많았고 대만 23%, 인도네시아 13%, 일본 9% 이외 영국, 이탈리아, 터키, 태국, 인도, 파키스탄, 미국, 캐나다 등 다양하다.

이명재 엔지니어는 해커원 리포트를 인용하며 “올해 5월까지 해커원 고객은 약 5만건의 보안취약점을 해결했으며 지난해만 2만건이 넘는 보안취약점이 해결됐다”고 설명하며 “취약점을 보고하는 해커의 가장 큰 목적은 금전 목적이 가장 크고 다음이 재미와 도전이다. 해커 연령대는 13~24살이 가장 많다. 해커들의 직업은 보안전문가, 학생 등이 가장 많은 비율을 차지하고 있다. 가장 많은 취약점은 XSS였으며, 취약점 수정에 가장 빨랐던 부문의 평균시간은 31일, 포상금 지불이 가장 빨랐던 부문의 평균 시간은 18일(정부기관의 경우 61일 소요)로 집계됐다”고 설명했다.

그는 이어 “이제 버그바운티 프로그램은 구글이나 페이스북 그리고 미국 정부와 같은 다양한 기관이 사용하고 있다. 2016년도 버그바운티 프로그램의 41%가 기술 이외의 산업이 차지했다. 글로벌 탑기업들은 해커에게 보상금으로 1년에 90만달러까지 지불했고 평균 보상금은 2015년 대비 크리티컬 이슈에 대해서 16% 증가했다. 하지만 버그바운티 프로그램의 채용 및 보상금 경쟁력은 커졌지만 취약점 공개 프로그램은 아직 후진적이다. 포브스 글로벌 2000기업의 94%가 여전히 버그바운티 정책을 가지고 있지 않다.”고 전했다. 한국을 비롯한 많은 기업들이 버그바운티 정책을 세우지 않고 있다는 것이다.

마지막으로 그는 “버그바운티 프로그램은 해커를 고용하는 가장 좋은 방법이다. 회사의 보안을 지키는 가장 좋은 방법이기도 하다”며 “화이트 해커 참여에 의한 취약점 정보와 노하우를 배울 수 있으며 해커들은 다각도로 다양한 서비스를 보고 있기 때문에 한 곳에 발견된 서비스가 다른 곳에도 있는지 분석하게 된다. 빠른 응답과 적절한 보상으로 버그바운티를 활발히 운영해 해커들의 지속적이고 적극적인 참여를 유도하는 것이 바람직하다. 라인은 해커들의 많은 참여를 원한다”고 강조했다.

이명재 라인 엔지니어의 PASCON 2017 발표자료는 데일리시큐 자료실에서 다운로드 가능하다. -라인 버그바운티 프로그램: bugbounty.linecorp.com

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★